深圳ISO27001认证过程中的问题解决思路,深圳ISO27001认证目标

深圳ISO27001认证过程中的问题解决思路

深圳ISO27001认证过程中的问题解决思路

ISO27001信息安全管理本质就是人与事的关系，是人根据制度和流程，采用适宜的方法、工具和手段去降低风险。风险是安全管理

的对象，人员、流程、手段是安全管理基本要素，其中人员是根本，流程是核心，手段是支撑。

培养和建立一支高效干练的人员队伍参与ISO27001信息安全管理的人员应组成1个强有力的管理组织，分工明确、沟通顺畅、协调

有力，运作高效。通常安全管理组织应是扁平化的，以便发现问题，及时响应，能够根据外部威胁的形势，快速进行适应性转变。

参与安全管理的人员的知识、技能应适用其岗位要求，并不断的学习成长，适用信息安全快速转变的时代要求。

建立科学、合理、易于落地的管理体系ISO27001信息安全管理体系构建应采用科学的方法，即按照ISO27001的要求，采用过程方法

，通过过程的控制来为结果提供一种可持续的保证。信息安全管理体系建设不是编制几个制度，它的目的是推动公司行动起来，发

生转变，不断提升其安全管控能力。要使安全管理体系有效发挥作用、起到实效，还必须：

全面化：要针对评估中发现的问题，与最佳实践相比较所存在的差距，应覆盖人员和组织、制度和流程、技术手段等所有要素，覆

盖信息系统的整个生命周期，覆盖管理的整个过程。

系统化：管理体系应符合PDCA（规划、实施、检查、改进）思想，必须要有测量、反馈机制，能够进行内部监督、审计，形成正向

的内部激励机制，不断进行改进和完善。

流程化：制度是有益的、必须的，但还必须贯穿部门间藩篱的、目标可控、易于落地的流程。流程使人员不必须关注过多的制度，

只需按照流程工作即可，减轻了人员负担。

规范化：对于具体工作，必须给出明确的工作指导和表单，规范人员的操作行为。

融合化：安全管理不是1个独立的体系，应与现运维管理、内部控制等现有制度和流程相融合，借鉴Cobit、ITIL、CMMI、

PMP/PRINCE2、隐私数据保护等管理思想或方法的长处。

当然，每个公司都具有一定的个体特性，如文化、人员、组织和信息系统环境等等。在构建时，应采用中医的方法，严格诊断，对

症下药，建立起符合自己特点管理体系。

有效利用各种技术手段这主要体现在两个方面，一是采用技术手段，推动安全管理的电子化、自动化，提升管理效率；二是采用技

术手段，保障管理流程、管理目标的有效强制落实和实现。

深圳ISO27001认证目标

深圳ISO27001认证目标

深圳ISO27001认证组织使已识别的信息资产满足信息安全的各项要求，包含法律法规、顾客与相关方和组织业务要求。具体目标包含：

1.信息泄露事件为零

2.引起组织主要业务中断时间累计不能超过2h/次

3.严重影响网络与信息系统可用性的事件小于1次/年

4.引起组织主要业务中断事件发生次数小雨1次/年

5.信息安全事件发生时，以损失最小化、恢复时间最短化、避免再次发生为目标